Modus Phising Terbaru Makin Meyakinkan, Bisa Menyamar Jadi Mbak-Mbak Google

Dilihat 1102 kali
Foto ilustrasi kenali modus-modus phising

Pada akhir Oktober 2022, saya melakukan perjalanan dinas ke Jakarta dari Magelang. Saya menggunakan moda transportasi kereta api Taksaka dari stasiun Yogyakarta. Berangkat jam 8.40, saya tiba di stasiun Jatinegara jam 14.45 WIB. Untuk menuju rumah ke Depok, saya harus naik KRL Commuterline dan transit di stasiun Manggarai kemudian pindah kereta menuju stasiun Depok Lama.


Sekitar jam 16.00 WIB saya naik Commuterline dari stasiun Jatinegara lalu turun di stasiun Manggarai. Di commuterline, saya sempat mengirim pesan singkat ke adik saya.


Saya: Gue udah di CL (Commuteline) ya menuju stasiun Manggarai

Adik saya: Oke, hati-hati HP dan barang bawaannya ya


Demikian percakapan terakhir saya dan adik saya yang juga bekerja di Jakarta. Setelah itu HP saya masukkan dalam tas. Tidak berselang 5 menit, saya bersiap-siap turun di stasiun Manggarai. Setelah turun dari kereta, saya hendak mengabari adik saya lagi, namun ternyata HP saya sudah hilang, raib dari tas. Kejadiannya begitu cepat dan saya tidak merasakan gerak-gerik apapun ketika HP saya dicopet. 


Singkat cerita, HP saya sudah tidak bisa dihubungi. Lalu saya pun segera mengatur HP saya dalam Lost Mode (mode hilang) melalui akun iCloud.


Beragam modus dugaan phising


Dua hari kemudian, saya mendapat notifikasi melalui Apple watch, bahwa HP iPhone saya aktif dan lokasinya terdeteksi ada di Pekayon, Bekasi. Langsung saya telepon nomor lama saya, aktif, tersambung, namun di-reject. Kemudian kakak dan adik saya juga menghubungi nomor lama saya, tapi sudah tidak aktif lagi.


Tidak lama kemudian, ada pesan singkat masuk ke nomor HP kakak saya, dari nomor lama saya, isinya:


iPhone 11 Pro Anda hilang telah ditemukan. Periksa lokasi lacak di https://icloud.info.in..

Ketika diklik link tersebut meminta untuk memasukkan user id dan password akun iCloud saya. Kakak saya mencurigai ini sebagai modus phising karena domain iCloud yang berbeda. Maka, dia meminta saya mengabaikan jika ada SMS serupa.


Esok harinya saya block kartu lama saya dan menggantinya dengan kartu SIM baru, namun masih dengan nomor ponsel yang lama. Satu minggu kemudian, ada nomor asing mengirim pesan singkat ke nomor saya, isinya kurang lebih sama dengan SMS sebelumnya. 


Di hari yang sama, ada telepon masuk dari nomor asing dengan kode area dari United States. Ketika saya jawab, ada suara mbak-mbak google, kurang lebih begini isi suaranya:


"Halo, Fany Rachmawati, iPhone 11 Pro anda yang hilang sudah ditemukan, silakan tekan 1 untuk melacak lokasi lewat email, atau tekan 2 lewat SMS". 


Kemudian saya tekan angka 1, lalu mbak google itu kembali menjawab: 


"Untuk mengkonfirmasi, silakan masukan 6 digit kode iPhone anda".


Seketika itu saya langsung menyadari bahwa itu juga upaya phising, maka langsung saya tutup teleponnya.


Di kesempatan yang lain, teman saya bercerita dia dihubungi nomor tidak dikenal yang mengaku dari perusahaan ekspedisi JNT. Transkrip lengkap percakapannya sebagai berikut:


Mengaku JNT (JNT) : siang kak, ini benar dengan kak Muhammad Ainur rofiq ?

Teman saya (TS) : Benar...

TS : Bagaimana?

JNT : Kak ini kita dari expedisi pengiriman barang. Ini ada paket untuk kak tetapi belum ada nama alamatnya, untuk paket sudah dibayar ini akan dikirim untuk hari ini?

TS : Maaf barang apa ya? Paket apa?

JNT: Untuk paket kak bisa cek di apk-nya kak

TS: Maaf, maksudnya saya dapat paket? Atau saya ngirim paket?

JNT : Kak terima paket kak. Silahkan kak cek terlebih dahulu paketnya di apk jnt (yang dikirim oknum tsb via whatsapp)

TS : Cara ngeceknya gmn?

JNT : Tadi sudah kak instal apk nya kak

JNT : Kak klik lihat order

JNT : Bagaimana kak apakah sudah kak cek

TS : Sudah

JNT : Baik


Sejak awal teman saya sudah agak curiga, katanya dapat paket tapi kok belum ada nama dan alamat? Janggal. Tapi karena penasaran, singkat cerita aplikasi itu dia install. Namun, tak lama berselang ada notifikasi masuk yang intinya adalah ada yang berusaha masuk ke akun BRI mobile banking (BRImo). Bahkan sampai 3 kali percobaan masuk. 


Lalu teman saya yakin ini modus baru penipuan. Langsung dia berusaha masuk ke akun BRImo tapi sempat mengalami kesulitan. Ada keterangan kalau sedang digunakan pada perangkat lain. Dua kali teman saya coba belum bisa masuk juga. Yang ketiga, akhirnya teman saya bisa masuk dan langsung ganti password. Lalu dia cek saldo Alhamdulillah masih utuh.


Di kasus lain, saya yakin hampir semua orang pernah mendapat pesan singkat yang kurang lebih isinya seperti ini: 


"Selamat, anda memenangkan hadiah sekian ratus juta rupiah dari PT. ... Silakan klik link ini untuk mengklaim hadiah". 


Jika kita klik link tersebut, maka kita akan diarahkan untuk mengisi data-data pribadi kita. 


Pengertian phising dan jumlah kasusnya di Indonesia


Beberapa contoh pengalaman yang saya tuliskan tersebut adalah beragam modus phising yang mungkin saja pernah pembaca alami juga. Phising berasal dari Bahasa Inggris: fishing, artinya memancing. Dalam hal ini bukan memancing ikan, tapi memancing korban untuk mengisikan data pribadi di link palsu. Phising bisa diartikan aktivitas mencuri data pribadi orang lain tanpa disadari untuk disalahgunakan oleh oknum tertentu. Trik phising bisa dilakukan dengan cara mengirimkan link palsu dan mengarahkan kita mengisi data pribadi di dalamnya. Atau bisa juga dengan iming-iming hadiah yang fantastis melalui email, pesan singkat, atau bahkan telepon. Tujuannya agar kita dengan sukarela memberikan data pribadi tanpa ada kecurigaan. 


Saat ini modus phising bentuknya semakin beragam dan bisa jadi sangat meyakinkan. Data yang diincar biasanya adalah data sensitif berupa identitas pribadi, detail kartu kredit dan perbankan, juga termasuk username dan kata sandi. Data-data tersebut kemudian digunakan untuk mengakses akun pribadi kita seperti rekening perbankan, dompet digital, akun media sosial, sehingga mengakibatkan kerugian finansial.


Mengutip dari website katadata.co.id, lebih dari 5.000 kasus phising menyerang di Indonesia pada kuartal kedua tahun 2022. Tepatnya ada 5.579 laporan serangan phising yang diterima Direktorat Tindak Pidana Siber Bareskrim Polri. Serangan phising paling banyak mengincar lembaga keuangan, yakni 41 persen. Berikutnya sebanyak 32 persen menyerang e-commerce, lalu 21 persen mengincar media sosial. Sisanya sebanyak 6 persen serangan phising mengincar pencurian data game online dan akun aset kripto (rilis katadata.co.id, Agustus 2022).


Cara kerja phising


Pelaku phising biasanya menyamar jadi pihak yang memiliki kredensial dan mengaku dari perusahaan resmi atau institusi yang berwenang. Mereka akan mengincar dan menargetkan seseorang tertentu untuk menjadi korbannya. Pertama, mereka akan menghubungi korban melalui pesan singkat, email, atau telepon. Mereka kemudian akan memberi iming-iming sejumlah hadiah, melaporkan sebuah kasus, ataupun modus lainnya. Pelaku akan mengirimi korban dengan pesan-pesan yang cukup meyakinkan, kemudian mengarahkan korban untuk mengisi link dengan data-data pribadi kita seperti identitas nomor KTP, NIK, username, password, PIN atau bahkan foto selfie menggunakan foto KTP.


Jika korban berhasil dikelabui, data-data tersebut akan dikumpulkan melalui link palsu yang diberikan. Kemudian informasi tersebut akan digunakan untuk membobol rekening pribadi korban, mengajukan pinjaman online, menguras dompet digital, hingga mengambil alih akun media sosial korban. Biasanya, tujuan utamanya ada merebut akses data pribadi sehingga mengakibatkan kerugian finansial si korban.


Ciri-ciri phising


Berikut ciri-ciri phising yang harus diwaspadai:


  • Pengirim pesan mengaku memiliki kredensial atau berasal dari perusahaan / instansi berwenang
  • Pelaku mengirim pesan singkat atau menelepon melalui nomor tidak dikenal dengan iming-iming hadiah fantastis atau melaporkan adanya suatu kasus. Iming-iming hadiah juga bisa dikirimkan melalui email
  • Kita diarahkan mengklik dan mengisi link yang dikirimkan. Link tersebut menyerupai link resmi perusahaan / instansi yang dicatut namanya, namun biasanya hanya mirip, ada tambahan karakter dan domain yang berbeda
  • Pesan yang dikirimkan berusaha meyakinkan atau bahkan mendesak kita untuk mengisi data di link palsu tersebut
  • Data yang diminta bisa berupa data pribadi (nama lengkap, usia, alamat, nama ibu kandung, nomor KTP, NIK, foto selfie menggunakan KTP), data akun (username, password atau PIN), dan data finansial (informasi detil kartu kredit, cvv number atau 3 digit terakhir nomor kartu kredit, rekening bank, dan dompet digital)


Tips agar terhindar phising


  • Jaga selalu data pribadi dengan aman. Jangan mudah tertipu membagikan data pribadi dengan orang lain apalagi nomor asing yang belum bisa dipastikan kebenarannya
  • Periksa nomor, alamat email, dan alamat website pengirim pesan, apakah resmi dari perusahaan / instansi yang bersangkutan. Nomor whatsapp resmi biasanya ada centang hijaunya. Jika dari nomor asing, alamat email, atau website, verifikasi dahulu kebenaran di website atau akun media sosial resminya
  • Cek kebenaran link / tautan yang dikirim. Pastikan menggunakan link resmi instansi / perusahaan yang memberi penawaran
  • Jangan mudah tergiur iming-iming hadiah yang fantastis, apalagi jika kita bukan nasabah bank / perusahaan tersebut
  • Jangan panik jika pelaku mengaku menyampaikan kabar darurat atau mendesak kita mengisi link tersebut, apalagi jika pelaku mengaku teman dekat atau kerabat kita, hubungi langsung orang aslinya.
  • Terakhir, abaikan seluruh email, telepon dan pesan singkat dari nomor asing yang mencurigakan karena dalam sehari, kita bisa saja menerima serangan phising lebih dari satu kali.


Prinsipnya, entah itu phising atau bukan, kita harus selalu menjaga kerahasiaan data pribadi dengan baik dan aman. Hindari mengumbar data pribadi apalagi di media sosial. Hati-hati dalam membagikan data pribadi. Jika ada yang meminta misalnya foto KTP untuk keperluan tertentu, sebelumnya kita bisa imbuhkan watermark di KTP kita agar tidak disalahgunakan pihak yang tidak bertanggung jawab di kemudian hari. 


Dan selalu cek dan ricek ketika menerima informasi apapun di media sosial agar kita lebih bijak mengelola data pribadi dan tidak terjebak dalam modus penipuan bagaimanapun bentuknya.


Fany Rachmawati, Pranata Humas Dinas Kominfo Kabupaten Magelang


Editor Fany Rachma

0 Komentar

Tambahkan Komentar